La directive NIS2, une évolution de la précédente directive NIS (Directive sur la sécurité des réseaux et des systèmes d'information) introduite en 2016, marque une avancée importante dans la stratégie de cybersécurité de l'Union européenne.
L’accélération de la transformation numérique et les menaces ces dernières années ont mis en lumière une certaine insuffisance de l’approche précédente, conduisant l’Union à reconnaître la nécessité d’une mise à jour du système réglementaire qui permettrait de surmonter ses limites.
Origine et évolution de la directive NIS2
La directive NIS initiale constituait la première tentative sérieuse de l'UE visant à établir un cadre réglementaire uniforme pour la cybersécurité. Cependant, à mesure que le secteur numérique évoluait rapidement, il est devenu évident que le NIS n'était pas suffisamment équipé pour relever les défis émergents.
Officialisé par sa publication au Journal officiel de l'Union européenne le 27 décembre 2022 et activé le 16 janvier 2023, le nouveau règlement introduit des exigences strictes en matière de cybersécurité pour un large éventail d'entités opérationnelles dans des domaines considérés comme fondamentaux pour le tissu social et économique européen. Elle remplacera la précédente directive NIS, qui sera abrogée à partir du 18 octobre 2024.
Les États membres de l'UE ont jusqu'au 17 octobre 2024 pour transposer NIS2 dans leur législation nationale. Cette période de transition est cruciale pour que les entités s'adaptent aux nouvelles exigences, en évaluant et en renforçant leurs pratiques de sécurité conformément à la directive. NIS2 a donc été proposé pour combler les lacunes de la directive précédente, en étendant le champ d'application de la législation à un plus grand nombre de secteurs et en établissant des exigences plus strict pour la gestion des risques et le reporting des incidents.
En fait, l'un des changements les plus importants introduits par NIS2 concerne l'expansion des secteurs considérés comme critiques : la distinction précédente entre les opérateurs de services essentiels (OSE) et les fournisseurs de services numériques (FSD) est surmontée, introduisant le nouveau catégories de Sujets essentiels et Sujets importants, comprenant entre autres secteurs tels que : l'énergie, les transports, le secteur bancaire, les infrastructures des marchés financiers , soins de santé, eau potable, eaux usées, infrastructures numériques, gestion des services TIC, gouvernement et espace.
Cette expansion reflète la dépendance croissante de la société aux technologies numériques et l’importance de protéger les infrastructures critiques contre les menaces potentielles.
La classification des entités
NIS2 introduit une nouvelle classification des entités opérationnelles dans les secteurs identifiés, les divisant en "entités essentielles" et "entités importantes" en fonction de critères tels que la taille et le chiffre d'affaires annuel. Cette distinction vise à garantir que les mesures de sécurité sont proportionnées à l'ampleur et à l'impact potentiel des entités impliquées.
Ainsi, toutes les grandes entreprises opérant dans les secteurs spécifiés entrent automatiquement dans le champ d'application de NIS2. On parle donc d'entreprises de plus de 250 salariés ou d'un chiffre d'affaires supérieur à 50 millions d'euros, ainsi que d'entreprises de taille moyenne, comptant entre 50 et 250 salariés ou dont le chiffre d'affaires ou le budget annuel se situe entre 10 et 50 millions d'euros. En ce qui concerne les administrations publiques, les critères d'inclusion sont différents et offrent aux États membres une plus grande flexibilité dans la phase de mise en œuvre. La directive prévoit également l'inclusion de catégories spécifiques d'entités, y compris certaines petites entreprises, définies plus en détail dans le texte de la directive elle-même.
Exigences et sanctions
La directive NIS2 introduit un certain nombre d'obligations importantes pour les entités opérant dans des secteurs critiques, dans le but de renforcer la cybersécurité au niveau de l'Union européenne. Ces obligations peuvent être divisées en plusieurs catégories clés, dont chacune vise à garantir une approche globale et robuste de la gestion des cyber-risques.
Gestion des risques
Les entités concernées par le règlement sont tenues d'adopter des mesures techniques, opérationnelles et organisationnelles adéquates et proportionnées pour gérer les risques qui menacent la sécurité des réseaux et des systèmes d'information. Cela inclut l’obligation de protéger les systèmes critiques et de mettre en œuvre des procédures régulières d’évaluation et de gestion des risques. Plus précisément, les mesures devraient couvrir :
- Analyse des risques et sécurité des systèmes d’information ;
- Gestion des incidents ;
- Continuité des activités, y compris la gestion des sauvegardes et la gestion des crises ;
- Sécurité de la chaîne d'approvisionnement ;
- Sécurité dans l'acquisition, le développement et la maintenance des réseaux et des systèmes d'information ;
- Évaluation de l’efficacité des mesures de gestion des cyber-risques.
Obligation de notification
Les entités couvertes doivent notifier tout incident de cybersécurité à l'autorité nationale compétente dans les 24 heures suivant sa survenance. Cette obligation vise d’une part à garantir une réponse rapide aux incidents, et d’autre part à faciliter une collaboration efficace entre les entités et les autorités de régulation.
Surveillance et sanctions
NIS2 impose aux États membres de contrôler plus rigoureusement le respect des règles. Les sanctions en cas de non-respect seront nettement plus élevées que celles prévues par la directive précédente. Leur étendue dépend de l'appartenance de l'entreprise à la catégorie des « secteurs hautement critiques » ou des « autres secteurs critiques ». Pour les entreprises de la première catégorie, des amendes pouvant aller jusqu'à 10 000 000 € ou 2 % du chiffre d'affaires international total peuvent être imposées. Pour la deuxième catégorie, les amendes peuvent atteindre jusqu'à 7 000 000 € soit 1,4 % du chiffre d'affaires international total. Cet aspect souligne l’importance de répondre aux exigences établies et incite les entités à maintenir des normes de sécurité élevées.
Responsabilité managériale
La directive NIS2 donne à la direction de l'entreprise la responsabilité directe d'assurer une protection adéquate contre les cybermenaces. La haute direction peut être tenue responsable si elle ne parvient pas à gérer correctement ces risques.
Obligations supplémentaires
NIS2 impose également des obligations supplémentaires, telles que l'adoption de pratiques d'hygiène de base, la formation, l'utilisation de la cryptographie et - le cas échéant - le cryptage, la sécurité des ressources humaines, les politiques de contrôle d'accès et la gestion des actifs. De plus, le recours à l’authentification multifacteur ou à l’authentification continue est requis, ainsi que l’adoption de systèmes de communication sécurisés au sein de l’organisation.
L'objectif de ces obligations est de garantir, pour les réseaux et systèmes d'information, un niveau de sécurité adéquat au risque existant, compte tenu de l'état des connaissances et des normes européennes et internationales. Lors de l'évaluation de la proportionnalité de ces mesures, il convient de prendre en compte l'exposition de l'entité aux risques, son ampleur ainsi que la probabilité que des incidents se produisent et leur gravité, y compris leurs conséquences sociales et économiques.
Comment se préparer à NIS2
Le processus d'adaptation à la nouvelle législation nécessite une préparation minutieuse et systématique pour répondre à ses exigences.
La première étape consiste à déterminer si l’entreprise entre dans le champ d’application de la directive NIS2, c’est-à-dire si elle opère dans des secteurs critiques soumis à des exigences de cybersécurité. Si l'entreprise était déjà couverte par la directive précédente (NIS), il est conseillé de réaliser une analyse des écarts pour identifier d'éventuelles lacunes.
Il convient de prêter attention à un point : même les entreprises qui ne sont pas directement concernées peuvent l'être si elles étaient des fournisseurs d'entreprises appartenant à des secteurs critiques.
Une fois la couverture par NIS2 établie, l'entreprise doit cartographier ses processus métier liés à la sécurité de l'information. L'évaluation de l'impact commercial à l'échelle organisationnelle peut mettre en évidence les processus critiques et leur dépendance aux réseaux et aux systèmes d'information. Cela vous permet d'évaluer le risque associé à chaque processus et d'identifier où le risque d'accidents graves est le plus élevé.L' évaluation des risques permet de donner la priorité à la cybersécurité pour les processus clés.
Lorsque des vulnérabilités sont identifiées, il est essentiel de mettre en œuvre des mesures de sécurité concrètes : la certification ISO 27001 peut être un excellent moyen de garantir le respect des exigences NIS2, compte tenu de sa mention spécifique dans la directive.
Il n'est pas nécessaire d'aborder tous les domaines immédiatement, mais il est essentiel de disposer d'un plan pour sécuriser les processus et les systèmes métier, en les surveillant systématiquement pour faire face à toute menace émergente.
Avant tout, une préparation en temps opportun est cruciale. Obtenir le soutien de la direction, l’adhésion des parties prenantes et les ressources nécessaires prend du temps. Il est important d’anticiper les retards et de s’engager dans une planification rigoureuse avec des délais clairs.
Un autre point à ne pas négliger concerne l’analyse de votre supply chain informatique : il est essentiel d’évaluer les fournisseurs informatiques, notamment ceux critiques à la continuité de l’activité, pour identifier les vulnérabilités contractuelles, opérationnelles ou techniques.
Enfin, il est essentiel de développer une culture d’entreprise axée sur la cybersécurité et un niveau élevé de sensibilisation à la sécurité de l’information parmi les employés. Chacun doit être conscient de ses rôles et responsabilités au sein de l’écosystème de la sécurité de l’information.
